Эволюция средств защиты от Интернет-угроз

Сергей Кораблев
Независимый эксперт по ИБ

История противоборства электронных угроз и средств защиты от них насчитывает уже несколько десятков лет, то есть столько же, сколько угрозы и существуют. Что касается конкретных Интернет-угроз, то фактически их можно отождествить с общими компьютерными угрозами. Да и не удивительно, ведь наиболее эффективный способ распространения последних - это как раз передача через сети, а еще лучше - через Глобальную сеть. Конечно, отдельные вирусы, особенно из первых, относящихся к 80-90-м гг. прошлого столетия, были "заточены" и на распространение через дисковые накопители. Сегодня такие способы кажутся, по меньшей мере, неэффективными и экстравагантными. Однако уже тогда "дискетные" угрозы не могли иметь такого же масштаба распространения,   как  сетевые. А потому основные силы создателей компьютерных угроз были направлены на реализацию именно сетевых атак.

Характерной особенностью борьбы средств защиты с Интернет-угрозами является исключительная способность последних видоизменяться и приспосабливаться. А иначе в такой изменчивой среде, как Интернет, и быть не может. Под стать им (угрозам) стараются изменяться и средства защиты. Специалисты по информационной безопасности не зря едят свой хлебушек, ежегодно предлагая новые технологии, ежесезонно новые версии продуктов и ежедневно - обновления для своих клиентов.

Поэтому, говоря о средствах защиты, мы должны отталкиваться от эволюции самих угроз. Когда системы безопасности  изменяются  так, чтобы успешно бороться с угрозами, последние начинают мутировать, пытаясь проникать по сетям в компьютеры пользователей.

Почему изменяются угрозы

В общем случае можно выделить две причины, почему угрозы изменяются. Во-первых, как мы уже говорили выше, угрозы вынуждены изменяться, чтобы выжить. В противном случае системы безопасности не дадут им и шанса. Адаптация средств защиты сегодня происходит довольно быстро. Во-вторых, изменяются цели, которые вредоносному коду, а лучше сказать, сетевым злоумышленникам, необходимо достичь.

Первые компьютерные угрозы, появившиеся в начале 1980-х гг., были, скорее, экспериментами. Их и вредоносным-то кодом назвать язык не поворачивается. Потому что никакого существенного вреда они не приносили, да и принести не могли в принципе, так как функционалом таким не наделялись.

Здесь необходимо небольшое отступление. Большинство первых вирусов были ориентированы на обычное размножение и проникновение в компьютерные сети.

Деструктивная компонента в них не закладывалась. Иногда, впрочем, случались и казусы. Когда вследствие ошибки программирования вирус выходил из-под контроля или выполнял неожиданные даже для создателя действия.

Безусловно, некоторые неприятные моменты все равно присутствовали. Например, вирусы занимали место и без того на скромных по объему накопителях компьютеров, отнимали системные ресурсы. Но, самое главное, их идеология не была связана с разрушением. Те вирусы не несли вреда жертвам, а, скорее, служили средством познания цифрового мира для своих авторов. Они являлись практическими опытами, которые исследователи ставят для того, чтобы подтвердить или опровергнуть свои теоретические выкладки и изыскания.

Затем, когда вирусы получили более широкое распространение и попали в руки "толпы", началось их вредоносное использование. Не наживы ради, а вредительства вирусописатели занялись распространением программ, которые нарушали работу компьютеров, изменяли их программное обеспечение, удаляли файлы. Крайне неприятными оказались вирусы, перепрошивавшие БИОС. Ну что толку вирусописателю от того, что несколько тысяч компьютеров перестали загружаться? Разве что автор - владелец сервисной мастерской. Скорее, здесь действовал принцип "чтоб у соседа корова умерла".

К этому же времени относится и появление троянов, вредоносных программ, распространяемых под видом полезных или вместе с полезными программами, файлами. Дальше - больше. С широким распространением Интернета очень актуальными стали сетевые черви. И дальше уже разновидные "зловреды" полезли пачками.

Электронные угрозы той поры уже несли настоящий вред жертвам, однако сами создатели далеко не всегда извлекали практическую пользу. И даже наоборот. Созданные в правоохранительных органах специальные подразделения по борьбе с электронными преступлениями достаточно активно взялись за дело. В результате ловились инициаторы многих крупных эпидемий, которых наказывали как штрафами, так и серьезными сроками лишения свободы.

Сегодняшние реалии

Следующая метаморфоза в электронных угрозах относится, скорее, уже к современной истории. От вируса к вирусу, от атаки к атаке злоумышленники повышали свое мастерство, все более детально изучая компьютеры жертв и поведение самих пользователей. Постепенно злоумышленники начали мыслить в практической плоскости. Как хобби может превратиться в профессию, что полезного может дать новый вирус?

"Сегодня большинство сетевых угроз направлено на извлечение прибыли, - подтверждает Тарас Пономарев, партнер консалтингового бюро "Практика Безопасности". - Будь то кража пользовательского логина от аккаунта провайдера Интернет-услуг или пароля для доступа в систему онлайн-банкинга. Эпоха "бесполезных" вирусов уже прошла. Теперь даже студент-самоучка, запуская вредоносный код в "локалку" общежития, думает о том, какую пользу, какую прибыль ему может принести троян, подсмотренный на хакерском сайте в Интернете".

Превращению обычного вредительства в выгодное ремесло в немалой степени способствовал сам технический прогресс, развитие компьютерной техники, расширение и популяризация сетей. Если раньше компьютеры использовались для различных вспомогательных целей, сегодня они для многих людей являются основным средством коммуникации, заработка, развлечения, осуществления различных финансовых операций. Для пользователя удобства, предлагаемые сегодня компьютерами, оборачиваются дополнительными рисками. И что выбрать в данном случае, решать конкретному человеку. Именно поэтому многие клиенты отказываются от услуг удаленного управления счетом, предоставляемых банками. "Уж лучше я съезжу в отделение банка и напишу заявление на перевод, чем кто-то влезет в мой компьютер и переведет все деньги себе", - так мотивируют свой отказ обычные люди.

Заключение

Сегодняшний "черный бизнес" весьма многогранен. Заказ и распространение спама, взлом учетных записей к различным Web-сервисам, перехват паролей для платежных систем, фишинг, социальная инженерия и многое, многое другое. Следует также отметить, что перечисленные угрозы довольно редко встречаются сами по себе.

"Современные угрозы ИБ весьма сложны, - продолжает Тарас Пономарев из "Практики Безопасности". - Это актуально и для Интернет-угроз. Нередко сложно даже определить, к какому классу вредоносных программ относится "пойманный" экземпляр: троян ли, вирус, эксплойт или все вместе? Поэтому и обычные антивирусы сегодня уже являются не узкоспециализированными программами, а целыми комплексами, защищающими от самых разнообразных угроз".

С годами меняются не только угрозы ИБ, но и сами авторы этих угроз. Меняется их инструментарий, меняются цели. Но также непрестанно эволюционируют и средства борьбы. Пока нет объективных предпосылок к спаду активности Интернет-злоумышленников. А потому за рынок ИБ можно не опасаться - работа найдется.

Комментарий эксперта

Александр Матросов
Руководитель Центра вирусных исследований и аналитики ESET

Сегодня Интернет является самым быстрым источником распространения вредоносного ПО. Современные угрозы можно условно разделить на две группы. Первая - это атаки с использованием эксплойтов, которые осуществляют вредоносную активность без участия пользователя. Во второй группе, если говорить о Рунете, чаще всего фигурируют различные лжеантивирусы, троянские программы-вымогатели и блокираторы. То есть пользователю, под тем или иным предлогом, навязывают установку вредоносного ПО.

Эволюция угроз происходит стремительно, особенно это стало заметно в последние годы. Вредоносные программы начали более активно сопротивляться анализу, а новые модификации злонамеренного ПО появляются по нескольку раз в день (чаще всего меняется просто программа-упаковщик, которая расшифровывает тело вируса при его активации). Количество вредоносного трафика, обрабатываемого внутри нашей вирусной лаборатории, значительно возрастает, и такая тенденция роста наблюдается уже на протяжении многих лет. Это связано в том числе и с постоянным усложнением программного обеспечения. К примеру, современный Web-браузер для полнофункционального серфинга в сети Интернет должен иметь на борту ряд расширений. Поэтому, даже если сам браузер будет неуязвим, уязвимости в расширениях все равно приведут к успешной атаке злоумышленников.

Для того чтобы увеличить скорость реагирования на угрозы в России, компания ESET создала Центр вирусных исследований и аналитики, основной задачей которого является отслеживание локального вредоносного трафика и повышение скорости реакции при появлении нового вирусного ПО в российском регионе. Кроме того, мы стремимся существенно повысить качество обнаружения угроз, которые проявляются у нас раньше, чем в других регионах, или имеют сугубо локальный характер. Идеология глобального мониторинга в компании ESET развивается уже давно, мы первые на рынке антивирусного ПО внедрили технологию раннего обнаружения - ESET ThreatSense.Net, которая позволяет выявлять вредоносное ПО в любой точке мира на начальных стадиях распространения.

Михаил Башлыков
Руководитель направления информационной безопасности компании КРОК

Действительно, самая популярная причина хакерских атак - желание заработать. Именно поэтому сегодня так актуален вопрос обеспечения защиты персональных данных, обрабатываемых организациями, на которые зачастую и нацелены злоумышленники, так как крупные компании не могут позволить себе допустить репутационные риски и подвергнуть себя возможным ограничениям.

Говоря об эволюции средств защиты, я не стал бы узко останавливаться на Интернет-угрозах. Не меньшее развитие сейчас получают сертифицированные средства, которые позволяют компаниям соответствовать требованиям 152-ФЗ. Услуги консалтинга и аудита в этой области также пользуются большим спросом.

Весьма востребованы средства защиты от несанкционированного доступа, особенно в банках. Сегмент средств защиты от инсайдеров рос достаточно давно, но в кризис он получил дополнительные стимулы для развития. Система сбора и мониторинга событий ИБ и система контроля действий пользователей необходимы компаниям как на уровне HR-подразделений, так и на уровне административного руководства.

Небольшие компании зачастую находятся на более ранней стадии процесса оснащения средствами ИБ, но и в этом сегменте все вышеперечисленные решения пользуются спросом, особенно в случаях, когда небольшая компания демонстрирует высокий уровень ИБ-зрелости. Кстати, для малого бизнеса защита от фрода, как ни странно это звучит, является даже большей необходимостью, чем для крупного игрока, ведь инсайдеры могут нанести таким компаниям больший урон. Владельцы мелкого бизнеса прекрасно понимают, что увод клиентской базы может быть равносилен краху. Для крупной компании это не столь критично. Поэтому сегодня многие небольшие компании уделяют более пристальное внимание вопросам ИБ, гораздо качественнее их прорабатывают.

Вообще кризис подтолкнул компании к переоценке взглядов на ИБ. Сегодня заказчикам уже недостаточно внедрения тех или иных технических средств защиты: эти средства должны приносить определенный экономический эффект, и компания хочет понимать, какие новые возможности у нее появятся благодаря внедрению. Это, пожалуй, основная свежая тенденция на отечественном ИБ-рынке. Раньше затраты на безопасность рассматривались как чрезмерный, неоправданный для компании расход. Теперь же такое восприятие на безопасность постепенно отходит в прошлое. Организации осознали необходимость мер по обеспечению информационной безопасности и хотят извлечь из этого ощутимую выгоду.